Mit der Google-Endpunktverwaltung (Google Endpoint Management, GEM) können Sie die Geräte Ihrer Organisation in derselben Google Admin-Konsole verwalten, in der Sie auch die Sicherheit, Dienste und Konten von Google Workspace verwalten. Welche Verwaltungsoptionen für Android-Geräte verfügbar sind, hängt von Folgendem ab:
- wie die Geräte eingerichtet sind
- ob der Gerätenutzer der einfachen oder erweiterten Mobilgeräteverwaltung unterliegt
- ob Sie die Geräte dem unternehmenseigenen Bestand hinzufügen
- die dem Gerätenutzer zugewiesene Google Workspace-Lizenz
Wir werden hier viele Begriffe zur Geräteverwaltung einführen. Falls Sie sich verirren, finden Sie am Ende dieser Seite eine Wortliste.
Google-Endpunktverwaltung im Vergleich zu Android Enterprise
Android Enterprise ist eine Suite von APIs, Entwicklertools und Administratorfunktionen, mit denen EMM-Anbieter (Enterprise Mobility Management) Android-Geräte verwalten können. Weitere Informationen zu Android Enterprise
GEM ist ein EMM-Anbieter, der viele der über Android Enterprise verfügbaren Funktionen anbietet. Die beiden sind jedoch getrennt. In Android Enterprise sind möglicherweise mehr Funktionen verfügbar, die von EMMs implementiert werden können, als in GEM. Informationen zu neuen Funktionen in der Google-Endpunktverwaltung finden Sie im Hilfeartikel Das ist neu bei der Google-Endpunktverwaltung.
Android-Verwaltungsberechtigungen
Welche Optionen Sie bei Ihrem EMM-Anbieter zum Verwalten von Android-Geräten haben und welche Informationen Sie zu diesen Geräten erhalten, hängt davon ab, wie die Geräte eingerichtet sind. Bei der Einrichtung wird Ihre Verwaltungsberechtigung festgelegt.Ihre Organisation kann eine der folgenden Berechtigungen für ein Gerät haben:
Geräteeigentümer: Das Gerät ist nur für die Arbeit eingerichtet und Sie haben die volle Kontrolle darüber. In diesem Modus haben Sie die größte Kontrolle über die Daten und Apps auf einem Gerät. Er eignet sich am besten für Organisationen mit hohen Sicherheitsanforderungen.
Hinweis zur „Geräteeigentümerschaft“: Ein Gerät, auf dem Sie Geräteeigentümerberechtigungen haben, wird möglicherweise von Ihrer Organisation erworben und dem Nutzer zur Verfügung gestellt. Das ist zum Beispiel bei einem Gerät der Fall, das mit Zero-Touch-Registrierung als reines Arbeitsgerät eingerichtet wurde. Oder es handelt sich um ein privates Gerät, das der Nutzer als Arbeitsgerät eingerichtet hat. In GEM werden unternehmenseigene Geräte nicht durch Ihre Verwaltungsberechtigung definiert. Unternehmenseigene Geräte sind Geräte, deren Seriennummern Sie dem unternehmenseigenen Bestand hinzufügen. Das sind normalerweise Geräte, die Ihre Organisation gekauft hat und für die Sie die Berechtigung „Geräteeigentümer“ haben.
Profilinhaber: Auf dem Gerät ist ein verwaltetes Arbeitsprofil vorhanden, das vom privaten Bereich des Nutzers getrennt ist (weitere Informationen zu Arbeitsprofilen finden Sie im nächsten Abschnitt). Sie haben die Kontrolle über die Apps und Daten im Arbeitsprofil, aber nicht im privaten Profil. Verwenden Sie diesen Modus, wenn Ihre Organisation eine BYOD-Umgebung (Bring Your Own Device) wünscht.
Geräteadministrator (eingestellt, nicht verfügbar für Android 10 und höher, nicht für Geräte mit erweiterter GEM-Mobilgeräteverwaltung verfügbar): Der Nutzer hat ein verwaltetes Konto im privaten Bereich auf seinem Gerät.
Einige GEM-Tools und ‑Einstellungen hängen von der Berechtigung ab, die Sie auf dem Gerät haben. Wenn Sie beispielsweise die Berechtigung Profilinhaber für ein Gerät haben, können Sie das Arbeitskonto vom Gerät löschen, aber nicht das gesamte Gerät.
Wenn Sie die Verwaltungsberechtigung für ein Gerät prüfen möchten, öffnen Sie die Detailseite des Geräts in der Admin-Konsole. Weitere Informationen finden Sie im Hilfeartikel Details zu Mobilgeräten abrufen.
Android-Arbeitsprofile
Android-Arbeitsprofile bieten Nutzern Datenschutz für ihre privaten Daten und Apps auf einem privaten Gerät, das sie auch für die Arbeit verwenden. Im Arbeitsprofil können das verwaltete Konto und die Apps in einem separaten Bereich vorhanden sein, auf den die Geräteverwaltung keinen Zugriff hat. Die Verwaltungsberechtigung Ihrer Organisation ist Profilinhaber.
Wenn Sie die erweiterte Mobilgeräteverwaltung in GEM aktivieren, werden Nutzer aufgefordert, ein Arbeitsprofil einzurichten, wenn sie ihrem privaten Android-Gerät (BYOD) ihr verwaltetes Konto hinzufügen. Weitere Informationen zum Einrichten eines Arbeitsprofils finden Sie in den Hilfeartikeln Google Workspace auf einem Android-Gerät einrichten und Was ist ein Arbeitsprofil?.
Auf einem Gerät ist nur ein Arbeitsprofil zulässig.
- Wenn Sie nicht möchten, dass Nutzer Arbeitsprofile verwenden müssen, richten Sie die einfache Mobilgeräteverwaltung für ihre Organisationseinheit ein. Wenn Sie die erweiterte Mobilgeräteverwaltung bereits aktiviert haben, können Sie zur einfachen Mobilgeräteverwaltung wechseln. Mit der einfachen Mobilgeräteverwaltung stehen Ihnen nicht so viele Verwaltungsfunktionen zur Verfügung. Weitere Informationen zu den Unterschieden finden Sie im nächsten Abschnitt.
- Wenn ein Nutzer mehr als ein verwaltetes Konto auf einem Gerät benötigt, z. B. ein Nutzer mit einem normalen Arbeitskonto und einem Administratorkonto, fügen Sie ihn einer Organisationseinheit hinzu, die für die einfache Mobilgeräteverwaltung eingerichtet ist.
Hinweis:Geräte mit der Berechtigung Geräteinhaber werden in GEM nicht unterstützt, obwohl diese Einrichtung jetzt eine Option in Android Enterprise ist.
Einfache und erweiterte Mobilgeräteverwaltung für Android-Geräte
Die Google-Endpunktverwaltung bietet drei Stufen der Mobilgeräteverwaltung: einfach, erweitert oder nicht verwaltet. Sie können die Ebene der Mobilgeräteverwaltung für Nutzer nach Organisationseinheit festlegen. Mit der Option Benutzerdefiniert können Sie die Einstellung auch nur auf bestimmte Gerätetypen anwenden, die von Nutzern in der Organisationseinheit verwendet werden. Sie können beispielsweise Android-Geräte in der erweiterten Mobilgeräteverwaltung, iPhones und iPads (iOS) in der einfachen Mobilgeräteverwaltung und alle iOS-Geräte, die Google Sync verwenden, in der einfachen Mobilgeräteverwaltung haben.
Wichtig:Sie konfigurieren die Einstellung für die Mobilgeräteverwaltung nach Nutzer – dem Konto, das dem Gerät hinzugefügt wurde – und optional nach Gerätetyp. Sie können die Ebene der Mobilgeräteverwaltung nicht für eine bestimmte Gruppe von Geräten unabhängig von einem Nutzerkonto festlegen.
Einfache Mobilgeräteverwaltung
Die einfache Mobilgeräteverwaltung ist standardmäßig aktiviert. Damit können Sie grundlegende Anforderungen an Sicherheitscodes festlegen, Apps verwalten (nur Android) und Details zu Geräten mit Arbeitskonten abrufen. Der Nutzer muss keine Verwaltungs-App auf seinem Gerät installieren oder ein Arbeitsprofil einrichten. Außerdem kann die Lösung mit einigen EMM-Drittanbietern verwendet werden. Wenn Sie GEM als EMM-Anbieter verwenden möchten, bietet die einfache Mobilgeräteverwaltung nur eingeschränkte Sicherheitsoptionen. Weitere Informationen finden Sie im Hilfeartikel Funktionen der Mobilgeräteverwaltung im Vergleich.
Erweiterte Mobilgeräteverwaltung
Die erweiterte Mobilgeräteverwaltung ist erforderlich, um alle Funktionen der erweiterten Endpunktfunktionen und der Enterprise-Endpunktfunktionen nutzen zu können. Damit Sicherheitsrichtlinien erzwungen werden können, muss der Nutzer einen Verwaltungsclient auf seinem Gerät einrichten und bei privaten Geräten ein Arbeitsprofil installieren.
Hinweis:Die erweiterte Mobilgeräteverwaltung kann nicht zusammen mit anderen EMMs verwendet werden, sondern nur mit GEM.
Keine Mobilgeräteverwaltung (nicht verwaltet)
Wenn die Mobilgeräteverwaltung für Android-Geräte deaktiviert ist, können Sie Nutzern trotzdem erlauben, ihr Arbeitskonto dem Gerät hinzuzufügen und auf ihre Arbeitsdaten zuzugreifen. Sie haben jedoch keine Verwaltungsoptionen. Sie können das Arbeitskonto nicht vom Gerät löschen, wenn das Gerät verloren gegangen ist oder gestohlen wurde. Außerdem können Sie kein Passwort erzwingen und Geräte werden nicht in der Geräteliste in der Admin-Konsole angezeigt.
Eigene Geräte
Einige GEM-Funktionen gelten nur für Geräte, die Sie in der Admin-Konsole als unternehmenseigen festgelegt haben. Wenn Sie sie als unternehmenseigen festlegen möchten, fügen Sie Geräte dem unternehmenseigenen Bestand hinzu. Damit beispielsweise die Google-Endpunktverwaltung und zugehörige Sicherheitsfunktionen wie der kontextsensitiven Zugriff ein Gerät als unternehmenseigen erkennen, müssen Sie es dem Inventar unternehmenseigener Geräte hinzufügen.
Diese Unternehmensinhaberschaft ist unabhängig von der Verwaltungsberechtigung Geräteeigentümer und davon, ob Ihre Organisation das Gerät gekauft hat (physisch besitzt).
Zero-Touch-Registrierung
Die Zero-Touch-Registrierung (ZTE) ist eine Android Enterprise-Funktion, mit der Organisationen automatisch vollständig verwaltete Geräte für Nutzer einrichten können. Sie ist unabhängig von der Google-Endpunktverwaltung, Sie können mit der Google-Endpunktverwaltung jedoch Geräte verwalten, die auf diese Weise eingerichtet wurden.
Bei der Zero-Touch-Registrierung kauft Ihre Organisation Geräte von unterstützten Resellern und richtet eine Konfiguration ein, die automatisch angewendet wird, wenn der Nutzer dem Gerät sein Konto hinzufügt.
Um ZTE-Geräte mit GEM zu verwalten, müssen sich die Nutzer dieser Geräte in Organisationseinheiten befinden, in denen die erweiterte Mobilgeräteverwaltung aktiviert ist (zumindest für Android-Geräte). Ihre Organisation verfügt über die Verwaltungsberechtigung Geräteeigentümer, aber GEM behandelt sie nur dann als unternehmenseigen, wenn Sie die Geräte dem unternehmenseigenen Bestand hinzufügen. Weitere Informationen finden Sie im Hilfeartikel Android-Geräte mit Zero-Touch-Registrierung bereitstellen.
Weitere Informationen zur Zero-Touch-Registrierung im Allgemeinen finden Sie unter Zero-Touch-Registrierung für IT-Administratoren.
Wortliste
Begriffe für die Google-Endpunktverwaltung
- Erweiterte Mobilgeräteverwaltung: Mit dieser Einstellung haben Sie mehr Kontrolle über die Geräte der Nutzer, z. B. über den Zugriff auf Netzwerke und Apps sowie über Sicherheitseinstellungen. Außerdem erhalten Sie mehr Informationen zu diesen Geräten.
- Einfache Mobilgeräteverwaltung: Mit dieser Einstellung haben Sie eine minimale Kontrolle über die Geräte der Nutzer.
- Gehört dem Unternehmen: Ein Gerät, das Sie in der Admin-Konsole dem unternehmenseigenen Bestand hinzufügen.
- Google-Endpunktverwaltung (GEM): Der Anbieter von Enterprise-Mobility-Management, der in Google Workspace und Cloud Identity enthalten und in der Google Admin-Konsole verfügbar ist.
Android-Nutzungsbedingungen
- Android Enterprise: Die Funktionen und Tools, die EMM-Entwickler (Enterprise Mobility Management) verwenden, um die Verwaltung von Android-Geräten mit der EMM-Lösung zu unterstützen.
- Nutzung eigener Geräte (Bring Your Own Device, BYOD): Ein privates Gerät, dem ein Nutzer sein Arbeitskonto hinzufügt.
- Geräteeigentümer: Die Verwaltungsberechtigung, die dem Enterprise Mobility Management-Anbieter die vollständige Kontrolle über ein Gerät gibt. Der Nutzer kann kein privates Konto hinzufügen.
- EMM-Anbieter (Enterprise Mobility Management): Ein Produkt, mit dem Ihre Organisation Sicherheitsrichtlinien festlegen, den Datenzugriff steuern und Apps auf Geräten verwalten kann.
- Vollständig verwaltetes Gerät: Ein Android-Gerät, für das Ihre Organisation die Berechtigung „Geräteeigentümer“ hat.
- Verwaltungsberechtigung: Der Umfang der Kontrolle des Enterprise Mobility Management-Anbieters auf einem Gerät, entweder das gesamte Gerät (Geräteeigentümer) oder das Arbeitsprofil (Profilinhaber).
- Profilinhaber: Die Verwaltungsberechtigung, mit der der Enterprise Mobility Management-Anbieter nur das Arbeitsprofil auf einem Gerät verwalten kann.
- Arbeitsprofil: Ein separater Bereich auf dem privaten Android-Gerät eines Nutzers für seine geschäftlichen Apps und Daten. Ihre Organisation hat die Berechtigung Profilinhaber auf dem Gerät. Die privaten Apps und Daten des Nutzers sind getrennt und für Ihre Organisation nicht zugänglich.
- Zero-Touch-Registrierung: Diese Funktion für Android Enterprise ermöglicht Unternehmen die automatische Einrichtung vollständig verwalteter Geräte für Nutzer.
Siehe auch Terminologie für Android-Unternehmensfunktionen.